root
/
geekdoc-sec-zh
mirror of https://github.com/OpenDocCN/geekdoc-sec-zh
1
0
Fork 0
Code Issues Actions Packages Projects Releases Wiki Activity
geekdoc-sec-zh/docs/notech-hack/notech-hack_07.md

36 KiB
Raw Permalink Blame History

第五章:社会工程:我是如何闯入他们的大楼的

社会工程是一个无技术黑客工具箱中最重要的武器,但作为一个社会,我们对于那些擅长这门艺术的人有一种爱恨关系。我们喜欢“社会工程好人”如扎罗、克拉克·肯特和斯卡雷特·品潘尼尔;我们讨厌其他人,如罗伯特·汉森(电影《裂缝》的主题)、奥尔德里奇·埃姆斯或那些作弊的人。

重要的另一半。无论你对社会工程师有何看法,你至少应该了解这种心态,并学会如何保护自己和身边的人,因为社会工程师有一个巨大的优势:他们在你还没有意识到有游戏需要玩之前就已经在玩弄你了。

介绍

到这个时候,你可能已经注意到一个无技术黑客是机会主义者、演员和骗子的等量部分。安全专家将所有这些都汇总到一个术语社会工程师中。一个黑客尝试使用一种技术来看看他是否可以从中获得其创造者从未想过的有用结果。社会工程师与人际关系做同样的事情。

本章的第一部分由杰克·怀尔斯撰写。杰克是一名安全专业人员,在计算机安全、网络犯罪预防、灾难恢复和物理安全方面拥有三十多年的经验。他曾经培训过数百名联邦特工、企业律师、首席执行官和内部审计员,涉及计算机犯罪和安全相关主题。他难以忘怀的演讲充满了来自信息安全和物理安全战线的三十年个人“战争故事”。因为社会工程是无技术黑客的核心,而杰克了解社会工程,我将你交给他的有能力的手中。接管吧,杰克!

有多容易?

作为一名内部渗透团队的领队,我学习了我能够掌握的每一种利用方法来进行成功的内部渗透测试。就是在那些年里,我获得了大部分的社会工程经验。这些技能帮助我最终放下了我在垃圾场挖掘渗透团队的球衣,从“老虎队”世界中退休了,不败。尽管我有过几次险情,但我从未被阻止或被报告给安全人员,可能是潜在的盗贼或企业间谍代理人,尽管那是我扮演的角色 —— 实际上,那就是我。

1988 年,我是一家大公司的内部安全团队的一员。在几个场合,我有机会听到“黑帽子”(或恶意)组织在电话中针对受害者的对话。黑帽子们正在使用社会工程技能来获取专有信息,包括密码。我听到一名资深黑帽子对一个新手说的话至今仍然成立:“社会工程是入侵系统的最简单方法。”

攻击者为什么更喜欢社会工程作为他们的攻击向量?假设你是一名精英黑客,一家国际企业向你提供了巨额报酬,如果你能为他们提供其主要竞争对手公司网络的有效登录凭证。简而言之,他们想要一个或多个用户名和密码。

让我们称目标公司为国际缩写。作为一个“leet”黑客你根本不觉得学习 Acronym 网络用户名称有任何挑战。大多数大型公司都会系统地分配用户名称,这些名称都是从员工姓名派生出来的。如果 Joe Doaks 为 Acronym 工作他的用户名可能是几种变体之一joedoaks、jdoaks、JDoaks@Acronym或者类似的。如果你能学会员工姓名你就能够找出用户名称。其中一个明显的方法是获取一本打印的企业电话簿稍后会详细介绍。但由于你是一个聪明而有能力的高科技攻击者所以你转而在 Acronym 的网站上搜索并找到了一些姓名。你有很多选择:高管、公关人员、技术支持经理、在采访中被引用的市场人员……一些电子邮件地址在这里和那里表明用户名称的结构可能是什么样的。太好了!现在你只需要一个密码。

我即将比较一个高科技黑客获取目标有效密码的步骤和一个无技术黑客获取密码的步骤。准备好了吗?以下是高科技步骤:

image 扫描 Acronym 的网络,看看是否有端口在互联网上监听。你可以在几秒钟内扫描整个 65,000 个端口的范围,但 Acronym 的入侵检测系统会像戴着汽车报警器的圣诞树一样响起。你太聪明了,所以你以隐身模式进行扫描。你必须低调缓慢地行动,每隔几秒钟扫描一个端口,最好是从你控制的庞大僵尸网络中的各个 IP 地址进行扫描。

image *在受害者机器上安装恶意软件。*假设你的端口扫描成功显示了一个开放的端口,接下来你想要将你的 rootkit 悄悄地放到 Acronym 的网络中。你编写了一个小脚本,可以利用十几个最近修补的漏洞,希望 Acronym 没有跟上网络上每个应用程序的修补。你打包和加密了一个利用 Internet Explorer、Quicktime、Yahoo 工具栏、WinAmp 和其他流行应用程序漏洞的代码块并将其发送出去。像赚取你的第一百万美元一样获得第一个受害者是最困难的。但由于你是如此“leet”我们将假定你成功地将你的代码安装到了 Acronym 的网络计算机之一上。

image 枚举目标网络。 恭喜!你已经进入了 Acronym 的网络。但它有多大?它有多少子网?它使用路由器还是交换机?什么连接到什么?你必须仔细绘制出网络图,一直隐藏你的活动。而在今天的竞争激烈的网络环境中,你可能还需要抵御其他黑客的攻击,或者至少封堵你进入的安全漏洞,这样一个不够小心的黑客就不会擅自进入并暴露你的身份。

image 找到并复制加密的密码文件。 让我们假设 Acronym 运行的是一个 Windows 网络。你可能会使用类似pwdump的工具来获取一个可用的密码哈希的副本,然后将其传输到你自己的网络,以尝试获取所有那些有价值的密码的明文。你必须从一个 Acronym 计算机移动到另一个,就像一系列的跳板,不断靠近主密码服务器。当然,你必须在隐匿你的活动的同时进行所有这些操作,修改日志和更改注册表键,以使某些文件不更新它们被访问的日期。

image 运行自动破解工具来对加密的密码文件进行破解。 有了密码哈希在手,以及你在 Acronym 网络上的活动被谨慎隐藏,你启动 John the Ripper并装载了你所有喜爱的字典和一个巨大的彩虹表。一旦这个过程开始你可能在不到一个小时内就会有一些密码。如果你想看到这个在实验室条件下运行的情况请查看 SecurityWise 视频,“密码破解器的工作原理”,地址为video.google.com/videoplay?docid=4683570944129697667)。

啊呀!那太牛了,但你成功了。而且只花了大约一个星期。现在让我们用同样的目标——在 Acronym 的网络上获取一个有效的密码——以非技术的方式来做。准备好了吗?数数这些步骤:

image 打一个电话。

image 再打一个电话。在你聊天的时候,请求并收到有效的登录凭据。

巴达-宾,巴达-完成。等一下,我会向你展示这是如何可能的。现在,把这两个过程并排放在一起,你就会明白为什么黑客觉得社会工程比高科技攻击更容易。

两步版本是困难版本。有时,社会工程学之神会把宝贵的信息直接送到你面前。有一天,我站在西雅图的一个街角等公交车,听到我附近的两名工人讨论他们公司的网络。一名员工向另一名员工描述了他酷炫的新密码,当众说出来。他可能认为这样做是安全的,因为他觉得匿名。但当我不可思议地回头看时,看到一个人在衣服口袋里挂着他的员工身份证。那上面写着他的名字。就在亚马逊公司的标志上方,而亚马逊公司的总部就在两栋楼的距离之内。太神奇了。

社会工程学可以如此简单。

更好的是:社会工程学不依赖于一件有问题的高科技设备来发动攻击。相反,它利用对手心理的熟练攻击。大多数情况下,只需一个剪贴板和一张廉价的名片就能完成。因此,除了简单外,社会工程学也可以非常便宜。(即使坏人也担心成本削减对利润率的影响。)

在过去的十五年里,我亲身体会到成为一名有效的骗子有多容易,因为我领导了几支内部渗透团队进入客户的建筑物,这些客户雇佣我们来测试他们的漏洞。我们在他们的建筑物里漫游,假装是员工,从未失败或被抓住。我们遇到的每个人都认为我们在那里是合理的。

那是怎么可能的?为什么?这就是人性。

人性,人的弱点

这当然不是第一部讨论社会工程的著作。你阅读越多关于这个主题的各种文章和书籍,共同的主线就越清晰地开始浮现。社会工程师将我们的同情心、乐于助人的人性转化为对我们的利用。

关于这个主题的最佳书籍之一来自被广泛认为是社会工程之王的凯文·米特尼克。他的书《欺骗的艺术:控制安全的人类因素》通过一个又一个故事展示了人类善良的可利用性。

米特尼克经常假装是一个有麻烦或问题的人,只要从他与之交谈的人那里得到一点点信息就能解决。通常,他请求的信息不会让目标人物觉得是敏感数据。例如,如果你在一个全国银行连锁的银行分行工作,有人打电话询问同一连锁中另一家银行的地址,这似乎不是你应该隐瞒的信息。所以人们回答了他的问题。在谈话中,他们无意中泄露了更多信息:只有内部人员才使用的行话术语。一种表格的官方名称。账号中有多少位数字。

米特尼克擅长组合这些无害的数据,并利用它们来获取更多数据。如果有人打电话给你,使用你的业务内部俚语,似乎熟悉你办公室独特的编号系统,甚至反映了你对管理层和客户的感受,你会认为那个人是“我们”,而不是“他们”。我们总是希望帮助“我们”。

我当然不反对善良。但它应该与警惕共存。针对这个讨论,让我们考虑从未成为员工且不属于你的建筑物的人的威胁。那种陌生人应该很容易识别,并且很容易停止,对吗?对吗?

喂?这个东西在吗?

“不属于建筑物的陌生人”是我内部渗透团队所属的类别。当我们在建筑物里自由行动时,我们绝对不属于那里(除了被雇佣去尝试进入那里之外,但员工们都不知道)。检查你的建筑物是否可能存在间谍活动或未来恐怖主义活动的人也属于这个类别。理论上,建筑物内部的一些员工应该最终意识到有一个木马在营地中。有人已经越过了围墙的任何安全措施,进入了内部。然而,这从未是我们遇到的情况。

当我以此为生计数年时,我们被雇佣时期望被抓住。我们的攻击设计成随着我在建筑物里的团队停留时间越来越大胆。几乎每次工作结束时,我们都会公开地四处走动,仿佛我们在那里工作一样,几乎希望被某人抓住。但我们从未被抓到!员工们一次又一次地表现出轻信的幸福。

拜托。善良和渴望帮助是一回事。当个傻瓜是另一回事。三十多年来,我观察到人们对这个问题的意识缺乏。多年来,我看到的有关这种无声但强大威胁的文章相对较少。

我们当时表现不错,但我怀疑外面有很多坏人比我们更擅长,而且他们不会像我们一样最终被抓住。我们当时也遵循了一些我们认为无关紧要的自我设定规则。对于我们来说,采用强行进入,使用撬棍来打开门或窗户是不允许的。我们的主要工具是冷静的头脑和社交工程技巧。因此,如果我们在这些自我设定的限制下从未被发现,想象一下,一个冷酷、狡猾的攻击者是多么容易攻击你,而且他们在玩的是高风险的游戏:财富与监狱。

你的组织需要警惕起来。为此,让我给你展示一个具体的例子,说明我是如何欺骗员工给我提供敏感信息的。然后我们可以开始加强你们的防御姿态。

一步胜过两步

有时,社会工程学之神会把机会送到你手上,正如约翰尼的朋友 bR00t 所说:“有一天,我站在西雅图的一个街角等车,我听到我附近的两名工人正在讨论他们的公司网络。一名员工向另一名员工描述了他的新密码,公然说了出来。他可能觉得这样做是安全的,因为他觉得匿名。但当我惊讶地回头看时,看到了一个怎样疯狂的人在街角大声说出他的密码,在他的工装裤口袋里晃动,挂着他的员工身份证。那上面有他的名字。就在亚马逊公司的标志上面,而他们的总部就在两栋楼外?令人惊讶。社会工程学就是这么简单。”

受害者的心理

我们中的任何一个人,在任何时候,都很容易成为某种形式的社会工程的受害者。完全消除风险是不可能的。有一些事情可以和应该做到尽可能地减少风险,我会在本章后面讨论其中一些。

如果没有一定形式的培训(和实践)来学习如何抵制社会工程师,你很容易成为受害者,甚至不自知。

我们的思维方式非常信任和可预测,这意味着与常态明显偏离的行为可能会让我们觉得如此不可能,以至于我们没有考虑到应对的方法。这就是社会工程师所依赖的。没有意识到这个问题,也没有理解到我们的思维如何会被愚弄,对抗社会工程几乎没有什么防御。

“社会工程学永远不可能对我们公司起作用!”

那是一个下午,我和一位亲密的朋友谈论总体安全和社会工程威胁时说的。我曾经讲述了我作为渗透测试者的一些冒险经历,但我的朋友认为她所在的组织对我的伎俩太敏锐了。“我们有良好的安全措施,我们的员工不会上当,不会向任何人透露电话中试图获取信息的人,”她坚持说道。

我说:“给我九十天的时间,这样你就不知道我什么时候会打电话,我会测试你的理论。”

她同意了,有一个条件。当攻击发生时,她希望我把它录音,并把录音带给她作为她与员工分享的培训辅助材料。我喜欢这个主意。比赛开始了!

几周后,我打了电话。

“下午好,”一个友好的声音回答道。“医疗集团,我是玛丽。我可以帮你吗?”

我立即戴上了我的医生帽子,“是的,我是威尔斯医生,”我开始说。(即使这完全是假的,说起来也很有趣)。 “我打电话是想求个帮忙。我们在里士满也有一个类似你们的诊所,我们正在考虑购买一个新的医疗账单系统。你们的会计部门是否使用全自动系统,如果是的话,你们喜欢吗?”我的友好声音没有引起她的怀疑。这是一个表面上无辜的问题。

“是的,我们提供支持,”她说。“它叫做医生数据库,我相信他们位于科罗拉多州丹佛。”

到目前为止,一切都很顺利。她似乎愿意再多聊一会儿,所以我问了更多的问题。“他们在你遇到问题时提供支持吗?我们从购买医疗计费系统的朋友那里听到了一些噩梦般的故事,他们支付后却得不到支持。”

“是的,我们对他们的支持非常满意,”玛丽回答道。

“关于升级和需要修复的事情呢?他们有本地派人去处理计费系统的事情吗?”

“不,他们所有的事情都是通过连接到系统的调制解调器完成的。我们从未遇到过他们需要来这里的问题。”

我继续追问。“在我们做出如此重要的决定之前,我想与医生数据库的某个人交谈,以确保这对我们来说是正确的计费系统。你能给我打电话时与之合作的技术支持人员的姓名和电话号码吗?有些技术人员非常难以理解。当问题出现时,我与我们的管理员将要合作的人交谈后,我总是感觉更加自在。”

玛丽显然与医生数据库有良好的工作关系,因为她似乎很乐意告诉我一个名字。“是的,我们与杰瑞·约翰逊合作,他真的很好说话。如果你在东海岸时间下午六点前打电话,他应该在办公室里。他们的电话号码是 800-555-1212他们有人在电话上提供 24 小时支持。

她并不知道,我现在几乎已经得到了我所需要的一切。只剩下一个问题,我就可以礼貌地说声谢谢并告别了。“玛丽,感谢你抽出时间帮助我。在我们得到新的计费系统后,如果我们的管理员有任何用户问题,你介意我办公室的人给你们的数据库管理员打电话吗?向实际使用系统的人询问问题总比试图让供应商回答简单的问题容易得多。我保证我们不会打扰你。

她说她是数据库管理员,很乐意为我们解答一些问题。(生活在友好的阳光明媚的南方真是太美妙了。)

“非常感谢你帮助我,玛丽,”我礼貌地结束了。“只有在他真的遇到困难时,我们的管理员才会打电话给你。祝你周末愉快,再次感谢。”

我从玛丽那里得到了什么?

这个看似无辜的电话给了我最后进攻所需的一切。以下是我得到的:

image 她的名字是玛丽,她是医疗办公室的数据库管理员。

image 他们使用的医疗计费系统来自位于科罗拉多州丹佛的一个叫做医生数据库的公司。

image 他们在丹佛合作的技术支持人员叫杰瑞·约翰逊。

图片 杰瑞通过调制解调器访问他们的计算机进行工作

对于一位漫不经心的观察者来说,这并不是很危险的信息。大部分似乎是大多数人愿意分享的常识。请注意,我没有询问她的电脑情况,当然也没有询问任何有关登录 ID、用户名或密码的信息。

最后的诈骗

两周后,星期五下班前的几分钟,电话在医疗组织响起。

约翰勉强在第三声铃响后接听电话,知道那么晚打来一个有问题的电话可能会让他错过一些宝贵的周末时光。“下午好,医疗组织,我是约翰。我能帮你吗?”

我假装用上了我最好的社交工程声音,开始了我的攻击。“你好,约翰,我是来自丹佛医生数据库的比尔·詹金斯。我们正在致电我们所有的客户,关于我们医疗账单系统出现严重问题的事情。似乎我们上次的更新中有一个我们直到今天下午才发现的病毒。这导致所有应收账款记录都被损坏。我们整个技术支持团队正在尽快致电我们的客户,告诉他们有关这个问题。我知道玛丽通常和杰瑞·约翰逊一起工作,但他目前正在为另一个客户工作,并要求我处理你的系统修复。我能和玛丽交谈吗?”

有片刻的沉默。我感觉到约翰对于浪费他三天周末的第一个晚上的可能性感到不安。他最终回答道。“随着假日周末的到来,玛丽今天休假了。当她不在时,我会充当她数据库工作的后备,并且如果可能的话,我会尝试帮忙。”

情况正在好转!我开始设下陷阱。“玛丽不在吗?”我试图在我的声音中传递一些恐慌。“约翰,我需要登录你的系统来修复这个问题,但我没有杰瑞的信息在我面前——你知道,你的调制解调器拨号号码、登录 ID 和密码。如果我们需要从玛丽那里得到这些,我们可能会有问题。那个病毒可能在你的网络中自由传播整个周末。”然后我闭嘴,让沉默来说服他。

成功了。我听到他在翻看一些文件。“我在她的笔记本上找到了。电话号码是 555-867-5309登录 ID 是 doctor密码也是 doctor。”

我进行了我的干得好例行公事,让他完全放心。“约翰,你帮了大忙,我可以接下来的事情了。清理这个问题大约需要四个小时,我知道今天是星期五下午。我觉得你没必要留下来。我会安装修复程序,当你周二回来时,一切都会恢复正常。再次感谢你的帮助。周末愉快!”

当松了口气的约翰挂断电话时,那可能是他最后想到“比尔·詹金斯”的时候了。你知道的,直到他的老板稍后给他播放录音为止。

为什么这个骗局会成功呢?

没有一点意识培训,以及在与电话中的陌生人交谈时保持一点怀疑,任何人都可能上当受骗。

许多听过这个两部分攻击的数百(也许成千上万)人告诉我,他们也会上当。那个最初无辜的电话打开了一个非常可信的第二个电话,其中王国的钥匙被泄露。从周五下午到周二早上,那台电脑可能发生了很多事情。真正的医生数据库(名称已更改 - 这不是他们的真名)知道这件事吗?绝对不知道!他们不会知道有黑客在拿他们的名字开玩笑。杰瑞·约翰逊是真正为医生数据库工作的人吗?绝对是!玛丽经常和他一起工作。但比尔·詹金斯是我想象出来的,精心放置在一个由大量真实事实构成的场景中,使之变得可信。这些事实是我从他的同事那里社会工程出来的。

除了社会工程攻击向量之外,医疗组织的密码也极其不安全。我不太喜欢基于字典中的单词的密码,但这个话题超出了本书的范围。如果你想深入了解,可以查看 Mark Burnett 的《完美密码》。

对抗社会工程攻击

对抗社会工程的最佳防御之一是意识。每个员工都应该接受关于社会工程如何轻易被利用、如果不被察觉会构成的巨大威胁以及一些简单的对策的教育。在这一部分,我们将看一些在计划防御可能的社会工程攻击时你需要考虑的最重要的事情。

愿意提问

如果有一件事是我在年幼时学到的,那就是永远不要害怕提问。如果你不知道答案,就问。这在我四年级的数学测试中并不奏效,但在其他地方却取得了很好的效果。提问显示出智慧。因为认为自己什么都知道而不提问是愚蠢的表现。即使你知道答案,提问也提供了一种巧妙地衡量他人对你可能正在讨论的话题的知识的方式。人们也喜欢假设事情。我可以假设因为你给我打电话问问题,你一定对这个主题有一些了解,否则你为什么会给我打电话呢?

面部和身体表情也是人们交流的方式,但当你在电话上进行对话时,这并没有什么帮助。通过向任何可疑的来电者提问,你将赶走大部分人。要求提供一个可以回拨的电话号码。这并不能保证什么,但我经常在这个问题之后看到潜在的社会工程师挂断电话。他们没有准备好一个无法追踪的号码。

提前决定,并写入政策中,关于公司电话将回答和不回答的问题种类。这是一个可以让员工参与的领域。在每月的会议上,你可以进行“社会工程攻击演练”。我从来不喜欢角色扮演的活动,但这是一个角色扮演既有趣又有效的领域。打进来的电话可能涉及工业间谍活动、竞争间谍活动、有意的破坏、简单的好奇心或任何其他事情。如果“保卫”公司的团队准备好可能会在电话中被问到的问题,他们很可能会涉及到大多数真正的社会工程师问的问题。当他们在角色扮演的情景中接电话时,他们受益于在回答问题前经过仔细考虑的演练。

一旦我们的员工意识到这种威胁,他们在稍微奇怪的电话来临时就会立即警惕起来。你的电话意识也会提高。当然,电话接线员不应该对来电者粗鲁或无礼,但完全有可能坚定和警觉而不显得无礼。如果来电者是合法的,他们甚至可能会欣赏你愿意保护公司信息的意愿。在一个收银员礼貌地要求看你的身份证照片的商店购买信用卡,你难道不觉得更安全吗?

安全意识培训

我惊讶地发现员工真的对提高公司的安全姿态感兴趣。但这是有道理的:如果公司成功,他们也会成功。至少,他们的薪水是有保证的。

经过一段时间的安全意识培训后,与会者成为了持续培训的积极参与者。他们会给我寄来与安全相关的文章。我惊讶地发现我的培训已经成了一个完整的循环。现在,我的学生们已经成为了老师,对我们所有人来说,最终结果都是极其有益的。随着非正式安全倡导者网络的扩大,安全变成了一个有趣的挑战,而不是一项繁重的任务。

海报

随着我的自制意识研讨会的开展,我的意识海报活动也开始起飞。我认为通过海报传播信息是个好主意,但我想制作的海报必须是有效的、引人注目的,而且价格便宜。我自己设定的标准还要求它们在标准复印机上易于复制。带着这些想法,我坐下来看了一本剪贴画书,发挥了一下稍微狂野的想象力。大约两个小时后,我有了足够的剪贴画图案和恰当的聪明话语,可以设计出未来两年的海报。我每三个月向一些特定的人群发送一张新海报。不久,其他人也打电话过来要求加入我的海报接收名单。有些人开始收集它们,把它们排列在墙上。

制作海报很容易,但你必须做对,否则你不会得到结果。请记住,绝大多数员工不在 IT 部门工作因此不理解我们的专业术语、首字母缩略词和俚语。你不希望制作一张你认为很棒的海报而你的目标受众认为它毫无意义、令人费解或者烦人。你知道的“SB1386这是法律”如果你不是从事 IT 工作(而且不在加利福尼亚),你根本不会知道这张海报试图鼓励你记住强制企业保护客户个人身份信息的州法案。

这里是一些我对制作受欢迎且容易记住的安全海报的建议:

图片 使用简单的语言,而不是非 IT 人员不懂的首字母缩略词和技术术语。

图片 一个海报,一个想法。不要张贴五个、十个或二十个重要的要点的备忘录。那样既不容易记忆,也不容易阅读。没有全球范围的海报配给。如果你有更多要说的,你总可以再做一张海报。但是尽量每张海报只传达一个想法。理想情况下,简单明了并且用不到十五个字表达。

图片 尽可能使用幽默。安全本身并不好笑,但是如果你想要获得同事们的注意,幽默比试图强迫或威胁要好得多。

图片 关注流行文化。基于海盗(加勒比海盗)、卡通角色(怪物史莱克,任何皮克斯相关的内容)等内容的海报更受欢迎。你只需要有丰富的想象力、一点点 Photoshop 技巧,以及对安全的了解(以及如何避免侵犯版权)。

图片 强调你想让用户采取的特定行动。你可以制作一张印有潜行人物的海报,上面写着:“记住:黑客想要你的密码!”但员工应该如何应对?更好的做法是:“密码越长越强大!选择超过 14 个字符的密码。”

图片 将海报用作加强。即使是世界上最好的安全意识海报,也无法改善你的安全文化。海报最好用作提醒,加强员工已接受的更深入的培训。

如果你喜欢制作经济实惠的海报但是却苦于没有吸引人的点子,你可以在网上找到很棒的口号。查看 Gary Hinson 在www.noticebored.com上的巧妙作品。或者在www.ussecu-rityawareness.org/highres/security-awareness.html上获取更传统的例子。

大约六个月后,我开始将这些海报寄给任何想要的人,有一天一个我从未在我们大楼里见过的陌生人来找我。他来到我的桌子前,打了个招呼,介绍自己是我们大楼里一个小组的企业外部审计员。我认识并与我们自己的内部审计员一起工作过,但这是我第一次见到真正的外部审计员。在我们握手的头几秒钟,我有种来自小学的感觉:“该死,校长来看我了;我做错了什么?”我不想经常感受到这种受到威胁的感觉。但他很快让我感到放松,告诉我他想见见设计这些海报的人。它们如此简单而有效,以至于他想把这个想法带回他的公司。我说谢谢,自便。(外部审计员难道不是想要什么就能得到什么吗?)这真的给我敲响了一记警钟。你可以张贴各种各样的海报,但对于审计员来说,它们都传达着同样的信息:尽职尽责。

我甚至开始了一个比赛,看看谁能提交最有趣的海报建议,用于明年的海报。我准备了奖品等一切。只需要一点点想象力,你就可以创造属于自己的海报。玩得开心!

视频

随着我内部安全意识研讨会的需求开始增加,我面临着一个不断增长的问题。越来越多的小组想要看这个演示文稿,而我不可能到达所有的小组。毕竟,给这些研讨会是我所在的小组根本不应该做的事情。我的下一步是建议制作一部视频,并由我无法到达的所有小组使用。最初的反应是这将会太昂贵。一个高质量的视频每分钟制作成本可以超过 1000 美元。以这样的价格,甚至一个 30 分钟的视频对于大多数小组的运营预算来说都是不可能的。

我心中构想的要简单得多。在一位朋友和一台视频摄像机的帮助下,我在不到两个小时的时间内几乎零成本地制作了视频。为了看看效果如何,我们在我向一个小组做 30 分钟演示的整个过程中一直运行摄像机。然后我们制作了一个只包含所用幻灯片的视频。剩下的一个小时用于将这两个视频剪辑在一起。我们的目的是尝试几次,直到做得好为止。我们试图想出一些既便宜(当时最重要的部分),又有效的东西。我们完全没有想到我们的第一次尝试会有多么成功。超过 100 份副本被寄到公司各处,并且大多数副本在接下来的一年中都被播放了多次,以确保每个人都有机会看到它。据我所知,它仍然在播放中。

视频创作工具

你可能想要查看一些软件解决方案,可以帮助你制作意识视频。来自 Techsmith 的基于 Windows 的Camtasia产品套件(www.techsmith.com)是一个很好的开始。它可以记录您在计算机屏幕上的任何操作,并将其渲染为视频 - 基本上是视频屏幕捕捉。配以配音这是展示网络上应该做和不应该做的完美方式。Mac 用户可以考虑来自 Ambrosia Software 的 Snapz Pro X(www.ambrosiasw.com),也是一个很好的选择。这两种工具都允许您捕捉屏幕视频、演示文稿和实时音频。如果你有幸拥有 MacBook 或 MackBook Pro 笔记本电脑,你还可以使用内置的视频摄像头来录制视频素材,并使用 iMovie 来制作你的视频演示。巧妙地!不需要摄像机就可以制作视频!

我把这些都分享在这里是有原因的。如果我能做到,你或你公司的某个人也能。我发现自制视频相当受欢迎。从某种意义上讲,如果它们是‘真实生活’而不是过度商业化的,它们会获得某种额外的可信度。用来创建它们的设备正在变得越来越复杂,成本也越来越低廉。如果你自己尝试一下,我想你会对结果感到惊喜的。

对于一个几乎没有花费就制作出相当不错的自制安全意识视频的 IT 部门的示例,请查看 WatchGuard Technology 的 LiveSecurity 团队的工作:

WatchGuard Technologies 的“Drive-by Download”视频

video.google.com/videoplay?docid=-3351512772400238297&q=livesecurity “Syngress 作者的反直觉智慧"

这看起来很昂贵,但是它是在一个酒店房间里用两盏灯、一台摄像机和一块黑色天鹅绒带胶带拍摄的。

video.google.com/videoplay?docid=-2328105253826896657

如果你喜欢这些,你可以通过访问www.video.google.com并搜索“WatchGuard LiveSecurity”来看到更多。

如果你是美国公民,你也可以从国防部获得免费的信息保障培训视频。其中许多适合向非技术人员展示。有关信息,请访问iase.disa.mil/eta/iaetafaq.html

证书

公司里的另一位员工对我的研讨会、海报和视频感到惊喜:内部审计员和律师。与外部审计员一样,内部人员认为所有这些工作提供了许多关于安全审慎尽职的例子。我们的努力表明我们的公司正在尽最大努力防止计算机安全违规行为,无论是内部还是外部的。为了帮助宣传研讨会的信息,并进一步证明我们对安全意识培训的承诺,我最终创建了一份“出席证书”,并发送给每位参与者。

尽管它们制作成本低廉,但最终产品看起来非常专业。事实上,当我在公司里四处走动时,我看到许多挂在前参与者桌子附近的证书。您可以像我一样轻松创建自己的公司证书。您只需要一些优质的证书纸(空白纸)、文字处理器和激光打印机。在尝试不同字体和字号后,您可以保留一个模板,只需合并名称即可创建文档。它们看起来与您见过的任何专业证书一样,您将拥有另一件内部审计员喜欢看到挂在墙上的东西。

对抗内部威胁

内部威胁是无处不在的。我所读过的关于安全违规概率的每一项统计数据都指向公司的“内部”。这种攻击向量如此复杂,以至于我无法在这里充分展示。欲了解更多信息,请参阅 Eric Cole 博士和 Sandra Ring 合著的内部威胁:保护企业免受破坏、监视和盗窃。这是一本关于非常重要主题的优秀书籍。

通过在线搜索,您还可以找到最有可能从事间谍活动或欺诈的人格类型的简介。美国军队准备了一份这样的文件,可在以下网址找到:

www.smdc.army.mil/ADR/emotion/emoteT1.htm#Behavior 与间谍活动相关的模式。

您和您的公司需要继续进行安全意识宣传多久?可能要一直持续到您继续工作和计算机继续存在。我远非末日论者,但随着计算机渗透到我们生活的方方面面,计算机安全问题变得更加重要。

安全意识和抵制社会工程学起初似乎是一种负担。 但实际上并非如此。 学会质疑陌生人并保持警惕很快就会变成第二天性。 想想你一生中学到的所有其他安全行为。 当你身处拥挤的地方时,你学会了不要炫耀一大把现金。 当你去厕所时,你学会了不要把钱包放在餐桌上不看管。 当你穿过城镇的不良地区时,你学会了迅速而有目的地走。 当你离开时,你学会了锁门。 这些已经根深蒂固地融入了你的习惯中,只有极少数有心理障碍的人会说:“因为所有的风险,我永远不会离开家。”

对社会工程学的抵制和非技术黑客的抵抗可以变得同样直观和根深蒂固。 关键是保持警觉,并在努力告知身边人有关风险和对策时保持警惕。